A Lei n.º 13.709 de 2018 (Lei Geral de Proteção de Dados Pessoais) tem por objetivo regulamentar a forma sobre como as pessoas físicas e as organizações poderão utilizar e tratar dados pessoais no Brasil, além de consolidar uma série de direitos individuais aos titulares dos dados pessoais.

Segundo o art. 5º da Lei Geral de Proteção de Dados Pessoais (LGPD), considera-se dado pessoal toda informação relacionada à pessoa natural identificada ou identificável. Qualifica-se ainda como “sensível” o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Os dados pessoais considerados como sensíveis são alvo de proteção ainda mais rigorosa pela nova lei, porquanto podem ensejar discriminação de alguma natureza em relação ao seu titular.

É por meio da diferenciação estabelecida entre dados pessoais e dados pessoais sensíveis que a legislação impõe diversas exigências para que o tratamento de tais informações seja adequado, passando pela adoção de fundamentos e princípios (respeito à privacidade, inviolabilidade da intimidade, honra e imagem, finalidade, adequação, dentre outros), estipulação de requisitos para a sua coleta (por exemplo, o consentimento no caso de tratamento de dados pessoais sensíveis) e, ainda, aplicação de sanções em caso de mau uso das informações coletadas (vazamentos, descarte inadequado etc.).

Registre-se que, em se tratando de órgãos da Administração Pública, o acesso aos dados pessoais, sensíveis ou não, dispõe de amplitude muito maior, haja vista que, nos termos da própria LGPD, o tratamento por esses entes se faz necessário – e autorizado –  para a execução de políticas públicas e tutela da saúde, além de compartilhamento entre entes públicos e cooperação internacional.

Adentrando às disposições legais relativas à matéria tributária e a utilização de dados, tem-se que o art. 37 da Constituição Federal estabelece que as administrações tributárias da União, dos Estados, do Distrito Federal e dos Municípios, atuarão de forma integrada, inclusive com o compartilhamento de cadastros e de informações fiscais, na forma da lei ou convênio.

Por sua vez, o art. 199 do Código Tributário Nacional (CTN) flexibiliza o dever de sigilo fiscal ao autorizar que as Administrações Tributárias da União, dos Estados, do Distrito Federal e dos Municípios permutem entre si informações protegidas ou não por sigilo fiscal, desde que haja previsão em tratados, acordos ou convênio.

É também com respaldo na Lei Geral de Proteção de Dados Pessoais (LGPD) que o Fisco, como autoridade fazendária e responsável pelo controle de pagamento de impostos em todas as esferas tributárias do país, pode coletar e tratar dados pessoais sem a necessidade do consentimento do titular.

Entretanto, é bom relembrar que a desnecessidade de consentimento não configura passe livre para agir como bem entender: entre as obrigações dispostas estão o dever de transparência, o direito do titular de obter o acesso, retificação e eliminação de seus dados pessoais e a obrigação de adotar medidas de segurança, organizacionais e técnicas para proteção das informações pessoais.

É assim que, para o direito tributário, a legislação também exerce um impacto inegável: visando o tratamento adequado das informações de cunho pessoal, especialmente aquelas que podem acarretar discriminação do titular de alguma forma, as novas regras afetam diretamente processos relativos aos contribuintes como um todo.

A prestação de informações fiscais passou a ser realizada em um nível extremamente analítico, permitindo a formação de banco de dados sem precedentes, o que se faz a partir do conjunto de informações que devem ser consignadas em arquivos disponibilizados pela Receita Federal do Brasil.

No que se refere ao cumprimento das obrigações acessórias, a legislação impõe ao contribuinte a obrigação de fornecer uma gama de informações relativas a ele próprio, aos seus parceiros comerciais ou a negócios jurídicos por ele praticados, com o intuito de permitir a apuração e fiscalização dos tributos.

Visando ilustrar algumas situações em que a coleta de dados pessoais, sensíveis ou não, poderá ocorrer no âmbito tributário, pode-se destacar:

• a Nota Fiscal do Consumidor eletrônica (NFC-e), documento fiscal no qual se registram operações mercantis destinadas a consumidor final, poderá constar a discriminação não apenas do CPF do consumidor, como também quais produtos foram adquiridos, data de aquisição, valor pago e o estabelecimento onde foi adquirido;
• A Escrituração Contábil Fiscal (ECF), o Registro Y600 (“Identificação e Remuneração de Sócios, Titulares, Dirigentes e Conselheiros”) contém informações sobre os sócios, dirigentes e conselheiros ou dos titulares que tenham recebido maiores remunerações no período da ECF, como CPF, participação social, função etc.;
• Na Escrituração Fiscal Digital para apuração do ICMS e do IPI, há informações sobre dados pessoais dos fornecedores ou adquirentes – pessoas físicas ou jurídicas;
• Sem contar as informações relativas a direitos trabalhistas e previdenciários constante no eSocial.

A obrigatoriedade do fornecimento das informações em questão não isenta o contribuinte de implementar, no âmbito de sua organização, mecanismos para assegurar que o processo de coleta, utilização e descarte de dados pessoais – sensíveis ou não – seja efetivado de maneira adequada e segura, dentro dos termos da Lei Geral de Proteção de Dados Pessoais (LGPD).

É nesse contexto que a adoção de políticas de compliance tributário emerge como solução para prevenir, mapear e remediar eventuais situações de exposição indevida de dados, protegendo, assim, tanto os titulares dos dados pessoais quanto os operadores e encarregados de seu tratamento. São exemplos de políticas eficientes: a contratação de sistemas adequados para gestão e descarte de dados, geridos por pessoal encarregado do tratamento de tais informações, mitigação do acesso às informações no âmbito da organização e a confecção periódica de relatórios.

Texto elaborado em parceria com a advogada Patrícia Lisboa, especialista em Direito e Processo do Trabalho pela ESMAT21 – Escola de Magistratura Trabalhista do Tribunal Regional do Trabalho da 21ª Região, associada do escritório de advocacia JPegado Advogados.